WEB3.0:CertiK 2022第四季度Web3.0行业安全报告_BONK

2022年第四季度的主要事件想必无人不知，而这也是能够被载入Web3.0史册的事件：FTX的急转直下，近乎于一夜之间崩塌。虽然该事件在导火索被点燃前已有了明显的倾塌征兆，但因其毕竟是行业内的第二大中心化交易所，FTX的倒台无疑还是震惊了许多人。

我们在此也会为大家简单剖析一下这次事件造成的原因，以及使这种欺诈行为得以发生的非Web3.0商业模式的独特特征。

FTX事件让数十万，甚至数百万的用户的数十亿美元资产无法提取从而变成永久性损失。随着人们的注意力从Web3.0平台遭受的持续损失上转移开，DeFi在相比之下出现了一段“缓和期”。中心化交易所和服务永远无法如去中心化的应用程序一般成为Web3.0持续运转的关键。

因此如果Web3.0要发挥其真正的潜力，就需要百分百执行安全审计。本报告将分析过去三个月里Web3.0世界中最主要的几起安全事件。

若想要回顾2022全年的情况，请持续关注CertiK官方公众号，我们随后将发布《2022年度Web3.0行业安全报告》。

第四季度行业安全概要

①2022年第四季度，恶意攻击者从Web3.0领域中盗取了约9.5亿美元的资产。

②这一数字相比今年第一季度损失的13亿美元峰值有所下降，但较于第三季度损失的5.04亿美元增加了88%。

③仅11月的资产损失就占据了第四季度总损失的50%以上，主要资产损失来自于FTX钱包在该交易所崩溃期间损失的约5亿美元。

④第四季度发生了78起退出局，共盗取了约5268万美元，37起闪电贷与预言机操纵的漏洞共造成了约1439万美元的损失。

Balancer发布漏洞更新：只有总TVL的1.4%面临风险:金色财经报道，Balancer就V2池的漏洞发布更新称，Balancer上的大部分资金都是安全的，只有总TVL的1.4%面临风险，并且只有boosted池受到影响。为了降低风险，多个资金池已暂停，建议用户尽快提取流动性。[2023/8/23 18:16:12]

⑤整个2022年Web3.0领域的安全形态仍为大规模攻击占据主要资产损失，仅三个独立的跨链桥漏洞就造成了约1.1亿美元的损失。

⑥第四季度CertiK审计的Web3.0项目数量仍在持续上升，目前审计的项目总数已达到了5046个。

FTX顷刻崩塌

FTX，作为曾经的第二大中心化加密货币交易所，日落后已燃尽余辉。曾几何时，SamBankman-Fried的面孔还出现在世界各地的广告上。在过去的这段时间，有无数记者们以Sam为主题撰写了文章。迈阿密热火的主场场馆甚至也已被FTX冠名，冠名合约有效期至2040年。直到今年11月初，FTX还在高歌猛进，

然而这一切都在一周之内轰然倒塌，化为泡影。目前，Sam缴纳了2.5亿美元的高额保释金后保释出狱，两名Alameda公司的高级管理人员承认检方指控犯罪事实，并同意配合对其前老板的起诉。

FTX总部设立于巴哈马，虽然没有人知道美国法院将如何对其采取行动，但是我们可以在此先将该事件的始末进行初步梳理??：

11月2日：CoinDesk发布了一篇文章，表达了对AlamedaResearch资产中由FTT组成比例的担忧。

11月6日：Binance首席执行官赵长鹏“CZ”表示，他将出售Binance总额为5.8亿美元的FTT持股，这些持股来自他对FTX的早期投资。

智能合约安全分析项目Certora的形式验证服务已支持以太坊编程语言Vyper:8月15日消息，智能合约安全分析项目Certora的形式验证服务已支持以太坊编程语言Vyper，使智能合约开发人员能够在部署代码后审计之前检测错误。[2023/8/15 21:23:39]

AlamedaResearch首席执行官CarolineEllison现在已经承认了两项电信欺诈罪和五项共谋罪，涉及电信、证券和商品欺诈以及：为CZ提供了一个场外交易。

原文大致翻译如下：根据企业尽职调查的结果，以及关于客户资金处理不当和涉嫌美国机构调查的最新新闻报道，我们决定不再对http://FTX.com进行潜在收购。

与此同时，美国证券交易委员会和司法部对FTX展开调查。

11月10日：巴哈马证券委员会冻结了FTX并任命了清算人。

11月11日：FTX按照美国破产法第11章申请破产。SamBankman-Fried辞去首席执行官一职，由曾管理Enron公司破产程序的JohnJ.RayIII接任。

11月12日：《华尔街日报》报道，FTX将客户的存款交给AlamedaResearch，以帮助其履行债务偿还责任。而Alameda的高管知道这一协议其实违反了FTX的服务条款。

大约有5亿美元的FTX资产被从平台转出。有传言说巴哈马政府曾指示撤出资产，但随后该政府否认了这一说法。

11月14日：纽约的联邦检察官对欺诈指控展开调查。

11月16日：美国立法者要求SamBankman-Fried以及Alameda和Binance的高管在12月的国会山听证会上作证。

Balancer生态收益治理平台Aura Finance将于6月9日开启LBP和上线:金色财经消息，SushiSwap联合创始人0xMaki将要推出的Balancer生态收益治理平台Aura Finance发推称，将于6月10日2:00进行为期5天的LBP，同时Aura合约和网站也将上线。在前两周，AURA总供应量的2%将分配给auraBAL质押者（包括选择锁定空投的用户）。Aura Finance将在6月16日开启aura BAL存款和加速流动性激励，同时开始向Balancer、Convex Finance和lobsterdao社区发放空投，不想锁定AURA的用户将需要为其空投认领支付30%的罚款，这些空投罚款将在协议启动一个月后累积并自动分配给vlAURA持有者。6月23日，vlAURA持有者将能够投票决定Aura的veBAL投票权应投向何处。[2022/6/5 4:02:59]

11月17日：即将上任的FTX首席执行官JohnJ.RayIII在一份法庭文件中说：“在他的职业生涯中，包括在Enron丑闻期间，他从未见过失败的如此透彻的公司管理控制。”这包括“系统的完整性受到损害，国外监管存在缺陷，以及控制权集中在极少数没有经验、不成熟和不良信誉的个人手中。”

12月12日：在纽约联邦检察官提出刑事指控后，Sam在巴哈马被捕。

12月13日：美国证券交易委员会指控SamBankman-Fried投资者。

12月20日：在被拘留8天后，SamBankman-Fried同意被引渡到美国。

12月27日：据彭博社报道，美国司法部已对11月FTX价值数亿美元资产遭到提取一事展开调查。

CertiK：微软高危零日漏洞可执行任意代码，建议用户使用硬件钱包:金色财经报道，CertiK安全团队发现，近日，微软Office中一个被称为 \"Follina \"的零日漏洞（编号CVE-2022-30190）被发现。攻击者可使用微软的微软支持诊断工具（MSDT），从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。

由于该漏洞允许攻击者绕过密码保护，通过这种方式，黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击，提升黑客在受害者系统里的权限，并获得对本地系统和运行进程的额外访问，包括目标用户的互联网浏览器和浏览器插件，如Metamask。CertiK安全团队建议，正确保护你的设备和个人信息。[2022/6/3 4:00:57]

目前，CarolineEllison和GaryWang已经承认了联邦指控，其欺诈行为已被证实。

如果想通过收听方式了解更多FTX事件始末及细节，请复制以下链接至浏览器https://m.ximalaya.com/sound/590419909?from=pc

播放CertiK首席运营官曹亚昕博士关于《FTX极速坠落》的专访节目。

以去中心化为荣的Web3.0世界，为何会出现如此问题？

其实，FTX并不是一家Web3.0货币公司。它是一个允许进行数字资产交易的中心化平台。它依赖于用户对平台遵守其服务条款的信任，而高管层则恶意利用了这种信任。

那么有更好的解决方案吗？

当然。与FTX这样的中心化交易所相对应的则是Web3.0行业中的去中心化交易所。而FTX管理层的欺诈行为在DEX中可以说是几乎不可能实现的。因为资金流动公开透明，用户的存款不可能被秘密转移到某些交易公司。

去中心化交易协议Balancer拟于3月发布V2版 目前正在进行内部审计:去中心化交易协议Balancer（BAL）宣布计划于今年3月份发布BalancerV2版本，目前正在进行内部审计。BalancerV2的升级内容或功能主要包括机池（Vault）将适用于所有Balancer池添加的所有资产、提升Gas效率、提高资本效率、较低的Gas成本和富有弹性的预言机、由社区管理的协议费用以及无需许可、可自定义的AMM逻辑等。其中，协议费用包括交易费用、资产撤回费用以及短期贷款费用，将由治理决定。[2021/2/3 18:45:39]

因此，开放的Web3.0协议可作为FTX事件的解决方案，而其也不该被抹上与欺诈性中心化交易所相同的污点。

不过，目前Web3.0解决方案尚未进入黄金时代。如上文所述，仅2022年第四季度，就有约10亿美元的资产从生态系统中不翼而飞。在Web3.0世界能够实现其安全、自由和公平的生态系统供所有人使用的承诺之前，安全标准需要不断提高。

下面就让我们来看一下第四季度最大的漏洞事件之一：MangoMarkets事件。该事件凸显了在构建Web3.0协议时平台需谨慎设计的重要性。

MangoMarkets平台，于2022年10月初遭到攻击，损失了约1.16亿美元。MangoMarkets利用Serum进行现货保证金交易，而永久期货则在MangoMarkets自己的订单簿上进行交易。MangoMarkets由MNGO持有人通过MangoDAO管理。

而这一攻击事件即是利用了该协议的组成部分。

推特用户AvrahamEisenberg公开声称自己参与了MangoMarkets的漏洞攻击，并暗示了还有其他未知人士同他一起操作。这些人利用了大量资金来操纵MangoMarkets协议。

2022年10月11日，攻击者们在MangoMarkets上夸大了他们的抵押品价值，并针对这些资金进行了大量贷款。

攻击者们用500万美元的USDC为钱包CQvKSNn提供资金，然后在订单簿上铸造了4.83亿份的MNGO永续合约。

随后，攻击者们向第二个钱包4ND8FVPj提供资金，并用它以每单位0.0382美元的价格购买4.83亿单位的MNGO。因此，攻击者能够将MNGO的价格提高到0.91美元，也因此能够让账户B借到更多资金。账号B以MNGO作为抵押品，借出了1.16亿美元的贷款，此时Mango的流动性被耗尽：账户A有大约有11,537,729.05美元的债务无法收回，账户B有大约1.15亿美元的借贷token。

Eisenberg声称他的团队执行了一个“高利润的交易策略”，使MangoMarkets陷入破产，但他也指出，他有兴趣归还一部分用户资金。MangoMarkets团队最终与攻击者进行了谈判，攻击者在10月20日DAO治理投票后归还了6700万美元。剩下的被盗资金被转移到钱包Hy4ZsZk，随后被进一步转移。目前该钱包仍持有约274万美元资产。

原文大致翻译如下：开发团队部分忽略了以这种方式设置参数的后果和风险。但我相信我们所有的行为都是合法的公开市场行为，也是按照设计使用协议。

遭遇攻击耗尽其流动性的项目很少有机会翻身，MangoMarkets是否会恢复犹未可知。MangoMarkets网站称，他们将部署第四个版本的平台，其中包括已更新的安全和风险缓释策略，不过相关细节还没有被公布。

目前，MangoMarkets的Discord仍具有活跃度，每隔几天就会有用户要求提供关于第四版部署的信息，其管理员也处于活跃在线状态。不过目前这个阶段，该团队似乎没有通报发布日期或与他们计划有关的其他信息。

在MangoMarkets事故的后期，AvrahamEisenberg在波多黎各被捕，并于12月27日被司法部指控商品欺诈和商品操纵。此案的结果将成为美国DeFi监管的一个里程碑事件。

全新的开始

FTX如过山车一般的故事正是Web3.0试图要避免的：信任本不应该轻信的机构、缺乏透明度、公然欺诈……

而2022年对投身于Web3.0市场的人来说，或许是比较煎熬的一年。除了FTX的崩塌以及其造成的连锁反应使行业中的一些大企业倒闭之外，整个Web3.0市场的行情和整体价格都相对低迷。

但2023年或许是一个新的机会。让我们回到初心，专注于真正重要的事情：建立安全、透明、开源的应用程序，将权力交还给用户。Web3.0也需要从写进区块链永久历史的教训中学习，通过安全协议设计、部署前代码审计和部署后监控来提高整个行业的安全水准。

无论何时，安全对于用户、开发者和整个行业的未来都是至关重要的。

CertiK安全排行榜让Web3.0用户能够利用CertiK的审计和安全团队的专业知识，对投资项目的安全风险有更深入的了解并做出更明智的决策，这些用户将整个生态系统推向了新的高度。

目前CertiK安全排行榜已全面升级为安全排行榜360，为数以千计的榜上项目提供完整而即时的安全状况“全景图”。由于整个系统进行了全面的更新，用户访问和分析这些安全数据将前所未有的便捷。此外，我们还利用量化工具为个人投资者提供合理的决策建议。欢迎访问certik.com了解详情。

Skynet天网动态扫描系统可结合链上交易监测与链下数据，对数百个Web3.0平台进行实时、全面的安全监测和分析。Skynet天网动态扫描系统高级版SkynetPremium由CertiK于2021年正式推出，其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着，随着威胁情报库和智能合约漏洞库的不断积累，这一平台也会变得愈发先进，从而适应变化无常的智能合约风险环境。目前Skynet天网动态扫描系统已全面升级，添加了更多维度的Skynet天网信任评分及专属于项目的项目亮点和预警等全新功能。

SkyTrace则是一种智能、直观的追踪工具，可帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。

CertiKKYC项目背景调查服务可为项目团队提供身份验证，包括使用基于AI的检测系统进行ID真实性检查，以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要参数。由于团队的匿名性越来越高，项目的风险行为也越来越具有可能。除此之外，CertiK安全排行榜赋予通过KYC调查的项目团队以青铜、白银、黄金等级的KYC徽章，最大程度上使项目团队去匿名化，建立更完善的问责制，从而增强项目的可信度。

CertiK于近期推出的漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客，收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK的安全专家团队将负责筛查和鉴定所有提交材料，并协助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。

CertiK致力于守护Web3.0世界，将以安全数据为重心，持续分析Web3.0的安全未来及发展。助力用户远离“土狗”以及人为踏空，以科技赋予科技价值和载舟之路。

PDF可存储版本下载

该报告PDF版本已收录并生成链接，欢迎下载查阅。

下载方式??

复制链接至浏览器即刻下载：

https://certik-2.hubspotpagebuilder.com/2022-q4-web3-0

标签：WEB3.0KETBONKBONweb3.0币种JizzRocketbonk币未来价值BONSAI

币安app下载热门资讯